Contact
Line : comsiam
การบล็อก IP Address เป็นหนึ่งในวิธีป้องกันภัยคุกคามที่ง่ายและมีประสิทธิภาพที่สุดบน Windows Server 2025 เมื่อพบการโจมตีจาก IP ใด IP หนึ่ง ไม่ว่าจะเป็นการสแกนพอร์ต (Port Scanning), Brute Force Attack, RDP Attack หรือพฤติกรรมต้องสงสัยอื่น ๆ
Windows Defender Firewall สามารถบล็อก IP ได้ทั้งแบบชั่วคราวและถาวร ช่วยลดความเสี่ยงจากการโจมตีได้ทันทีโดยไม่ต้องติดตั้งซอฟต์แวร์เพิ่มเติม
สำหรับผู้ดูแลระบบ การรู้วิธีบล็อก IP อย่างถูกต้องถือเป็นทักษะพื้นฐานที่ควรมี เพราะสามารถช่วยลดความเสียหายจากการโจมตีได้อย่างรวดเร็ว
① การบล็อก IP Address คืออะไร
การบล็อก IP คือการกำหนดกฎให้ Windows Firewall ปฏิเสธการเชื่อมต่อจาก IP ที่กำหนด
ผลลัพธ์
- ไม่สามารถเชื่อมต่อเข้า Server ได้
- ไม่สามารถสแกนพอร์ตได้
- ไม่สามารถ Login ได้
- ไม่สามารถเข้าถึง Service ได้
เป็นหนึ่งในมาตรการตอบสนองเหตุการณ์ (Incident Response) ที่นิยมใช้มากที่สุด
② เมื่อใดควรบล็อก IP
ตัวอย่างสถานการณ์
- Brute Force RDP
- SSH Attack
- Port Scanning
- Web Attack
- DDoS ขนาดเล็ก
- Login ผิดจำนวนมาก
- พฤติกรรมผิดปกติจากต่างประเทศ
ควรวิเคราะห์ก่อนบล็อกเสมอเพื่อหลีกเลี่ยง False Positive
③ วิธีตรวจสอบ IP ที่กำลังเชื่อมต่อ
เปิด PowerShell
Get-NetTCPConnection
หรือ
netstat -ano
ตรวจสอบ
- Remote Address
- Remote Port
- State
เพื่อระบุ IP ที่ต้องการบล็อก
④ วิธีดู IP จาก Security Logs
เปิด
eventvwr.msc
ไปที่
Windows Logs
└ Security
ตรวจสอบ Event
4625
ดูค่า
Source Network Address
จะทราบ IP ที่พยายาม Login เข้ามา
⑤ วิธีบล็อก IP ผ่าน PowerShell
ตัวอย่างบล็อก IP
New-NetFirewallRule -DisplayName "Block Attacker IP" -Direction Inbound -RemoteAddress 203.0.113.10 -Action Block
หลังจากสร้าง Rule แล้ว
IP ดังกล่าวจะไม่สามารถเชื่อมต่อเข้ามาได้
⑥ วิธีบล็อกหลาย IP พร้อมกัน
ตัวอย่าง
New-NetFirewallRule -DisplayName "Block Multiple IP" -Direction Inbound -RemoteAddress 203.0.113.10,203.0.113.20,203.0.113.30 -Action Block
เหมาะสำหรับกรณีโจมตีจากหลายแหล่ง
⑦ วิธีบล็อกทั้ง Subnet
ตัวอย่าง
New-NetFirewallRule -DisplayName "Block Subnet" -Direction Inbound -RemoteAddress 203.0.113.0/24 -Action Block
ควรใช้อย่างระมัดระวัง
เพราะอาจกระทบผู้ใช้งานจำนวนมาก
⑧ วิธีบล็อก IP ผ่าน Windows Defender Firewall GUI
เปิด
wf.msc
เลือก
Inbound Rules
→
New Rule
เลือก
Custom
จากนั้นกำหนด
- Protocol
- Remote IP
- Action = Block
แล้วบันทึก Rule
⑨ วิธีตรวจสอบ Rule ที่สร้างไว้
ใช้คำสั่ง
Get-NetFirewallRule
หรือ
Get-NetFirewallRule | Where-Object DisplayName -Like "*Block*"
ช่วยตรวจสอบรายการ IP ที่ถูกบล็อก
⑩ วิธีลบ Rule ที่บล็อก IP
ลบ Rule
Remove-NetFirewallRule -DisplayName "Block Attacker IP"
เหมาะสำหรับกรณีที่ต้องการยกเลิกการบล็อก
⑪ วิธีบล็อกประเทศ (Geo Blocking)
Windows Firewall ไม่รองรับ Geo Blocking โดยตรง
แนวทางที่นิยม
- Firewall Appliance
- Cloud Firewall
- WAF
- Reverse Proxy
เหมาะสำหรับการลดการโจมตีจากบางประเทศ
⑫ วิธีบล็อก Brute Force RDP
ตรวจสอบ
Event ID 4625
หากพบ Login ล้มเหลวจำนวนมากจาก IP เดียว
ให้สร้าง Rule บล็อกทันที
หลายองค์กรใช้ Script อัตโนมัติในการดำเนินการนี้
⑬ การบล็อก IP กับ IDS/IPS
IDS/IPS สามารถทำงานร่วมกับ Firewall ได้
ตัวอย่าง
- Microsoft Defender
- Suricata
- Snort
เมื่อตรวจพบภัยคุกคาม
ระบบสามารถสั่งบล็อก IP อัตโนมัติได้
⑭ ข้อผิดพลาดที่พบบ่อย
บล็อก IP ภายในองค์กร
ทำให้ผู้ใช้งานเข้าใช้งานไม่ได้
บล็อก Subnet กว้างเกินไป
ส่งผลกระทบโดยไม่จำเป็น
ไม่บันทึกเหตุผลในการบล็อก
ตรวจสอบย้อนหลังได้ยาก
ลืมตรวจสอบ Rule เก่า
Rule สะสมมากเกินไป
⑮ การจัดการ Block List ระดับองค์กร
แนวทางที่ดี
- ตั้งชื่อ Rule ให้ชัดเจน
- บันทึกเหตุผลการบล็อก
- ตรวจสอบทุกเดือน
- ลบ Rule ที่หมดความจำเป็น
ช่วยให้ Firewall บริหารจัดการได้ง่ายขึ้น
⑯ Best Practice สำหรับองค์กร
- บล็อกเฉพาะ IP ที่ยืนยันแล้ว
- ตรวจสอบ Log ก่อนบล็อก
- ใช้ Alert สำหรับ Brute Force
- ตรวจสอบ Firewall Rule เป็นประจำ
- ใช้ร่วมกับ MFA และ Defender
ทีมงาน comsiam มักกำหนดขั้นตอนการตรวจสอบ Security Logs ก่อนบล็อก IP ทุกครั้ง เพื่อป้องกันการบล็อกผู้ใช้งานจริงโดยไม่ตั้งใจ
หลายองค์กรที่ comsiam ดูแลใช้ Automation ในการบล็อก IP ที่พยายาม Login ผิดเกินจำนวนครั้งที่กำหนด ช่วยลดภาระของผู้ดูแลระบบได้อย่างมาก
⑰ FAQ
บล็อก IP แล้วมีผลทันทีหรือไม่
มีผลทันทีหลังสร้าง Rule
สามารถบล็อกหลาย IP ได้หรือไม่
ได้
ควรบล็อกทั้งประเทศหรือไม่
ควรพิจารณาตามลักษณะธุรกิจ
บล็อก IP ป้องกัน DDoS ได้หรือไม่
ช่วยได้บางส่วน แต่ไม่ใช่ทางแก้หลัก
⑱ สรุป
การบล็อก IP Address บน Windows Server 2025 เป็นวิธีที่รวดเร็วและมีประสิทธิภาพในการลดความเสี่ยงจากการโจมตี การสแกนพอร์ต และ Brute Force Attack การใช้งานร่วมกับ Security Logs, Windows Defender Firewall และระบบ Monitoring จะช่วยให้องค์กรสามารถตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและแม่นยำ
⑲ คำถามชวนคิด
หากมี IP หนึ่งพยายาม Login เข้าเซิร์ฟเวอร์ของคุณวันละหลายพันครั้งติดต่อกันเป็นเวลาหลายสัปดาห์ วันนี้คุณมีระบบที่สามารถตรวจพบและบล็อก IP นั้นโดยอัตโนมัติแล้วหรือยัง?
